Куда я попал?
Стандарт Банка России № СТО БР ИББС-1.0-2014 от 01.06.2014
Обеспечение информационной безопасности организаций банковской системы Российской Федерации - Общие положения
Р. 7 п. 10 п.п. 13
Для проведения оценки соответствия по документу войдите в систему.
Список требований
Похожие требования
ГОСТ Р № 57580.3-2022 от 01.02.2023 "Безопасность финансовых (банковских) операций. Управление риском реализации информационных угроз и обеспечение операционной надежности. Общие положения.":
ОРО.15
ОРО.15 Определение в качестве куратора службы ИБ должностного лица, ответственного за функционирование системы управление риском реализации информационных угроз.
Постановление Правительства РФ № 211 от 21.03.2012 "Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных ФЗ "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами":
Подпункт 1
1. назначают ответственного за организацию обработки персональных данных в государственном или муниципальном органе из числа государственных или муниципальных служащих и (или) работников указанного органа, замещающих должности, не являющиеся должностями государственной гражданской службы Российской Федерации или муниципальной службы, на основании трудового договора (далее - служащие);
Стандарт № ИСО/МЭК 27001:2022(E) от 25.10.2022 "Информационная безопасность, кибербезопасность и защита частной жизни — Системы управления информационной безопасностью — Требования. Тело стандарта":
5.3 Организационные роли, обязанности и управленческие полномочия
5.3 Организационные роли, обязанности и управленческие полномочия
Высшее руководство должно обеспечить определение и распространение в пределах организации обязанностей и управленческих полномочий для ролей, относящихся к информационной безопасности.
Высшее руководство должно определить обязанности и управленческие полномочия для:
Высшее руководство должно обеспечить определение и распространение в пределах организации обязанностей и управленческих полномочий для ролей, относящихся к информационной безопасности.
Высшее руководство должно определить обязанности и управленческие полномочия для:
- a) обеспечения соответствия системы менеджмента информационной безопасности требованиям настоящего документа;
- b) отчета высшему руководству о функционировании системы менеджмента информационной безопасности.
ПРИМЕЧАНИЕ Высшее руководство может также определить обязанности и управленческие полномочия по отчету о функционировании системы менеджмента информационной безопасности в пределах организации.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard":
Requirement 12.1.4
12.1.4
Defined Approach Requirements:
Responsibility for information security is formally assigned to a Chief Information Security Officer or other information security knowledgeable member of executive management.
Customized Approach Objective:
A designated member of executive management is responsible for information security.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Responsibility for information security is formally assigned to a Chief Information Security Officer or other information security knowledgeable member of executive management.
Customized Approach Objective:
A designated member of executive management is responsible for information security.
Defined Approach Testing Procedures:
- 12.1.4 Examine the information security policy to verify that information security is formally assigned to a Chief Information Security Officer or other information security-knowledgeable member of executive management.
Purpose:
To ensure someone with sufficient authority and responsibility is actively managing and championing the organization’s information security program, accountability and responsibility for information security needs to be assigned at the executive level within an organization.
Common executive management titles for this role include Chief Information Security Officer (CISO) and Chief Security Officer (CSO – to meet this requirement, the CSO role must be responsible for information security). These positions are often at the most senior level of management and are part of the chief executive level or C-level, typically reporting to the Chief Executive Officer or the Board of Directors.
Good Practice:
Entities should also consider transition and/or succession plans for these key personnel to avoid potential gaps in critical security activities.
To ensure someone with sufficient authority and responsibility is actively managing and championing the organization’s information security program, accountability and responsibility for information security needs to be assigned at the executive level within an organization.
Common executive management titles for this role include Chief Information Security Officer (CISO) and Chief Security Officer (CSO – to meet this requirement, the CSO role must be responsible for information security). These positions are often at the most senior level of management and are part of the chief executive level or C-level, typically reporting to the Chief Executive Officer or the Board of Directors.
Good Practice:
Entities should also consider transition and/or succession plans for these key personnel to avoid potential gaps in critical security activities.
Requirement 7.2.3
7.2.3
Defined Approach Requirements:
Required privileges are approved by authorized personnel
Customized Approach Objective:
Access privileges cannot be granted to users without appropriate, documented authorization.
Defined Approach Testing Procedures:
Defined Approach Requirements:
Required privileges are approved by authorized personnel
Customized Approach Objective:
Access privileges cannot be granted to users without appropriate, documented authorization.
Defined Approach Testing Procedures:
- 7.2.3.a Examine policies and procedures to verify they define processes for approval of all privileges by authorized personnel.
- 7.2.3.b Examine user IDs and assigned privileges, and compare with documented approvals to verify that:
- Documented approval exists for the assigned privileges.
- The approval was by authorized personnel.
- Specified privileges match the roles assigned to the individual.
Purpose:
Documented approval (for example, in writing or electronically) assures that those with access and privileges are known and authorized by management, and that their access is necessary for their job function.
Documented approval (for example, in writing or electronically) assures that those with access and privileges are known and authorized by management, and that their access is necessary for their job function.
Requirement 12.1.3
12.1.3
Defined Approach Requirements:
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities.
Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data.
Defined Approach Testing Procedures:
Defined Approach Requirements:
The security policy clearly defines information security roles and responsibilities for all personnel, and all personnel are aware of and acknowledge their information security responsibilities.
Customized Approach Objective:
Personnel understand their role in protecting the entity’s cardholder data.
Defined Approach Testing Procedures:
- 12.1.3.a Examine the information security policy to verify that they clearly define information security roles and responsibilities for all personnel.
- 12.1.3.b Interview personnel in various roles to verify they understand their information security responsibilities.
- 12.1.3.c Examine documented evidence to verify personnel acknowledge their information security responsibilities.
Purpose:
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies.
Without clearly defined security roles and responsibilities assigned, there could be misuse of the organization’s information assets or inconsistent interaction with information security personnel, leading to insecure implementation of technologies or use of outdated or insecure technologies.
Guideline for a healthy information system v.2.0 (EN):
39 STANDARD
/STANDARD
All organizations must have a point of contact in information system security who will be supported by the management or an executive committee, depending on the maturity level of the organisation.
This point of contact must be known to all the users and will be the first person to call for all questions relating to information system security:
All organizations must have a point of contact in information system security who will be supported by the management or an executive committee, depending on the maturity level of the organisation.
This point of contact must be known to all the users and will be the first person to call for all questions relating to information system security:
- defining the rules to apply according to the context;
- verifying the application of rules;
- raising users’ awareness and defining a training plan for IT stakeholders;
- centralising and dealing with security incidents noticed or raised by users.
This point of contact must be trained in information system security and crisis management.
In larger organizations, this correspondent can be designated to become the CISO representative. He or she may, for example, raise users’ grievances and identify the themes to deal with in the context of awareness raising, therefore allowing the security level of the information system to be raised within the organization.
In larger organizations, this correspondent can be designated to become the CISO representative. He or she may, for example, raise users’ grievances and identify the themes to deal with in the context of awareness raising, therefore allowing the security level of the information system to be raised within the organization.
Стандарт № ISO/IEC 27001:2022(E) от 25.10.2022 "Information security, cybersecurity and privacy protection — Information security management systems — Requirements. Body":
5.3 Organizational roles, responsibilities and authorities
5.3 Organizational roles, responsibilities and authorities
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:
Top management shall ensure that the responsibilities and authorities for roles relevant to information security are assigned and communicated within the organization.
Top management shall assign the responsibility and authority for:
- a) ensuring that the information security management system conforms to the requirements of this document;
- b) reporting on the performance of the information security management system to top management.
NOTE Top management can also assign responsibilities and authorities for reporting performance of the information security management system within the organization.
Framework № PCI DSS 4.0 от 01.03.2022 "Payment Card Industry Data Security Standard (RU)":
Requirement 12.1.3
12.1.3
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.
Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Политика безопасности четко определяет роли и обязанности в области информационной безопасности для всего персонала, и все сотрудники осознают и признают свои обязанности в области информационной безопасности.
Цель Индивидуального подхода:
Персонал понимает свою роль в защите данных о держателях карт организации.
Определенные Процедуры Тестирования Подхода:
- 12.1.3.a Изучите политику информационной безопасности, чтобы убедиться, что в ней четко определены роли и обязанности в области информационной безопасности для всего персонала.
- 12.1.3.b Провести собеседование с персоналом, выполняющим различные функции, чтобы убедиться, что они понимают свои обязанности в области информационной безопасности.
- 12.1.3.c Изучите документально подтвержденные доказательства, чтобы убедиться, что персонал признает свои обязанности в области информационной безопасности.
Цель:
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.
Без четко определенных ролей и обязанностей в области безопасности может произойти неправильное использование информационных ресурсов организации или непоследовательное взаимодействие с персоналом по информационной безопасности, что приведет к ненадежному внедрению технологий или использованию устаревших или небезопасных технологий.
Requirement 7.2.3
7.2.3
Определенные Требования к Подходу:
Необходимые привилегии утверждаются уполномоченным персоналом
Цель Индивидуального подхода:
Права доступа не могут быть предоставлены пользователям без соответствующей документированной авторизации.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Необходимые привилегии утверждаются уполномоченным персоналом
Цель Индивидуального подхода:
Права доступа не могут быть предоставлены пользователям без соответствующей документированной авторизации.
Определенные Процедуры Тестирования Подхода:
- 7.2.3.a Изучите политики и процедуры, чтобы убедиться, что они определяют процессы утверждения всех привилегий уполномоченным персоналом.
- 7.2.3.b Проверьте идентификаторы пользователей и назначенные привилегии и сравните с документально подтвержденными утверждениями, чтобы убедиться, что:
- Для присвоенных привилегий существует документально подтвержденное утверждение.
- Одобрение было получено уполномоченным персоналом.
- Указанные привилегии соответствуют ролям, назначенным данному лицу.
Цель:
Документально оформленное одобрение (например, в письменной или электронной форме) гарантирует, что лица, обладающие доступом и привилегиями, известны и авторизованы руководством, и что их доступ необходим для выполнения их должностных функций.
Документально оформленное одобрение (например, в письменной или электронной форме) гарантирует, что лица, обладающие доступом и привилегиями, известны и авторизованы руководством, и что их доступ необходим для выполнения их должностных функций.
Requirement 12.1.4
12.1.4
Определенные Требования к Подходу:
Ответственность за информационную безопасность официально возлагается на главного сотрудника по информационной безопасности или другого члена исполнительного руководства, обладающего знаниями в области информационной безопасности.
Цель Индивидуального подхода:
Назначенный член исполнительного руководства отвечает за информационную безопасность.
Определенные Процедуры Тестирования Подхода:
Определенные Требования к Подходу:
Ответственность за информационную безопасность официально возлагается на главного сотрудника по информационной безопасности или другого члена исполнительного руководства, обладающего знаниями в области информационной безопасности.
Цель Индивидуального подхода:
Назначенный член исполнительного руководства отвечает за информационную безопасность.
Определенные Процедуры Тестирования Подхода:
- 12.1.4 Изучите политику информационной безопасности, чтобы убедиться, что информационная безопасность официально возложена на Главного сотрудника по информационной безопасности или другого члена исполнительного руководства, хорошо осведомленного в области информационной безопасности.
Цель:
Чтобы гарантировать, что кто-то, обладающий достаточными полномочиями и ответственностью, активно управляет и поддерживает программу информационной безопасности организации, подотчетность и ответственность за информационную безопасность должны быть распределены на исполнительном уровне внутри организации.
Общие должности исполнительного руководства для этой роли включают Главного сотрудника по информационной безопасности (CISO) и Главного сотрудника по безопасности (CSO – для выполнения этого требования роль CSO должна отвечать за информационную безопасность). Эти должности часто находятся на самом высоком уровне руководства и являются частью уровня главного исполнительного директора или уровня C, обычно подчиняясь Главному исполнительному директору или Совету директоров.
Надлежащая практика:
Организациям следует также рассмотреть планы перехода и/или преемственности для этих ключевых сотрудников, чтобы избежать потенциальных пробелов в критически важных мероприятиях по обеспечению безопасности.
Чтобы гарантировать, что кто-то, обладающий достаточными полномочиями и ответственностью, активно управляет и поддерживает программу информационной безопасности организации, подотчетность и ответственность за информационную безопасность должны быть распределены на исполнительном уровне внутри организации.
Общие должности исполнительного руководства для этой роли включают Главного сотрудника по информационной безопасности (CISO) и Главного сотрудника по безопасности (CSO – для выполнения этого требования роль CSO должна отвечать за информационную безопасность). Эти должности часто находятся на самом высоком уровне руководства и являются частью уровня главного исполнительного директора или уровня C, обычно подчиняясь Главному исполнительному директору или Совету директоров.
Надлежащая практика:
Организациям следует также рассмотреть планы перехода и/или преемственности для этих ключевых сотрудников, чтобы избежать потенциальных пробелов в критически важных мероприятиях по обеспечению безопасности.
Федеральный Закон № 152 от 27.07.2006 "О персональных данных":
Статья 22.1. Пункт 4.
4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
- осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
Статья 22.1. Пункт 1.
1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных.
Приказ ФСБ России № 378 от 10.07.2014 "Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации":
Глава III п. 16
16. В соответствии с пунктом 14 Требований к защите персональных данных для обеспечения 3 уровня защищенности персональных данных при их обработке в информационных системах помимо выполнения требований, предусмотренных пунктом 5 настоящего документа, необходимо выполнение требования о назначении должностного лица (работника), ответственного за обеспечение безопасности персональных данных в информационной системе.
Положение Банка России № 716-П от 08.04.2022 "О требованиях к системе управления операционным риском в кредитной организации и банковской группе":
Глава 8. Пункт 8.10
8.8.10. Коллегиальный исполнительный орган кредитной организации (головной кредитной организации банковской группы) определяет должностное лицо (лицо, его замещающее), ответственное за обеспечение непрерывности функционирования информационных систем в кредитной организации (головной кредитной организации банковской группы), включая его полномочия и требования к его квалификации.
Связанные защитные меры
Ничего не найдено
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.